近74萬筆台灣人臉書個資外洩! 用這二個網站查詢自己是否在外洩名單中
而新的部分是什麼呢?之前這份資料是用賣的,現在2021年4月初,一個叫 TomLiner 的人在某個網路論壇公開發文,這份資料變成用送的。
All 533,000,000 Facebook records were just leaked for free.
This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.
I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
那個論壇也不是什麼新玩意,近幾年國外或是台灣的大型個資外洩資安新聞,如1**1人力銀行、銓敘部的公務人員名單,都可以看到那個論壇的名字,因為那個論壇的機制,發個資名單上去可以換點數,拿到點數就可以使用在其他需要點數才能看到的名單。總之我看了新聞就很緊張,我到底有哪些個資在那份名單裡?整天有他媽的貸款還是山小的來加我的LINE,是不是因為業者有買到那份個資嗎?
名單號稱是免費下載,但實際上需要先加入論壇會員(完成 email 認證),並花費論壇的點數(credits)才能解鎖查看載點,消耗 8 點即可得到所有國家的壓縮檔載點。點數從哪來?可以上傳外洩名單得到點數(如同本文的 TomLiner 一樣),或是直接用 PayPal 或虛擬貨幣購買,看來該論壇又大賺一票 email 資料和點數儲值費用了。
起初原PO是把各國家的檔案載點放在 ufile 免費空間,截至2021/4/9為止,論壇該文章顯示共有 5170 users have unlocked this content,但是一個人購買之後,可能把連結分享給N個人擴散出去,還有2019剛外洩出就去買的人,實際上有掌握此份名單的人完全無法估計。後來免空連結被改成 ufile Premium Access Only,而資料被重新打包,沒有再分國家了,通通包成一個10幾GB的壓縮檔,檔案放在論壇內,非得要進論壇才能下載。
駭客把每個國家的個資都先分開來,例如 Taiwan, Hong Kong, China 是獨立的三份資料,有 South Korea 但是沒有北韓。共有106個國家的名單,大約世界上快一半的國家都有了。
外洩名單內筆數達到上千萬筆量級的國家如下:
-Africa
-阿爾及利亞(Algeria)
-哥倫比亞
-埃及
-法國
-伊拉克
-義大利
-馬來西亞
-墨西哥
-摩洛哥(Morocco)
-沙烏地阿拉伯
-西班牙
-突尼西亞(Tunisia)
-土耳其
-英國
外洩筆數多,可以代表那個國家的臉書使用者很多嗎?這有待調查,總之外洩最多筆的國家是北非的突尼西亞,共有3900多萬筆,美國共有3200多萬筆,都比台灣人口數還多啊。資料最少的是柬埔寨(Cambodia),只有2838筆。
那就有一個大問題,China 地區怎麼可以上FB?China 這份名單上的 670,334 人除了社群網站常看到的網軍,或是行銷廣告業、外貿業,研究用途,或是用中國手機號碼註冊臉書,在國外生活的中國人以外。想必剩下的都使用了翻牆工具,使用翻牆工具上網是違反中華人民共和國計算機信息網絡國際聯網管理規定,應該有顛覆國家的意圖了。
臉書外洩了使用者的哪些資料?
以臉書創辦人為例,從一則科技新聞Mark Zuckerberg is using Signal, according to phone number leaked in Facebook hack,讓大家知道原來馬克也在這份資料裡,最後在 USA05 的名單中找到這個 Facebook ID=4的帳號資料,隱私內容(電話號碼)以星號標記,其他的資料(生日、妻子名稱、地區、性別)在維基百科都有了
1650星星星星星星6:4:Mark:Zuckerberg:male:Palo Alto, California:Dobbs Ferry, New York:Married:Chan Zuckerberg Initiative:1/10/2019 12:00:00 AM::05/14/1984
看起來好像沒什麼重要資訊?但研究了台灣地區的 734807筆,完整的資料欄位有:
886開頭的電話號碼|Facebook ID|名字|姓氏|性別|現居地區|來自地區|感情狀態|一個工作地點名稱|一個不知道什麼的日期(可能是註冊時間?)|email|生日
有這麼多資料欄位,但是不一定每個人的這些資料都是齊全的。所以沒有照片,也沒有身分證字號,沒有臉書密碼、沒有信用卡號(又一堆山西達人在鬼扯)、沒有IG帳號、沒有網路 IP、沒有一人多帳關係圖、沒有直接的好友名單、沒有精準到哪一條路幾號的地址,沒有全部的學歷和工作經歷名稱,沒有見不得人的臉書貼文或留言,沒有廣告興趣。要得知更多關於名單上某個人的資訊,必須得從 Facebok id 連到臉書個人頁面,查看公開內容。
缺很多資料,把台灣的這份做一下簡單的統整:
– 只有 1.45% 的名單有 email
– 只有 7.48% 的名單有生日(但是很多沒有年份,只有幾月幾號)
– 3013 筆使用 gmail
– 51%的人有填「來自」的城市名稱,但是不好剔除不是台灣的,例如有Pingtung (disambiguation), Pingzhen District 這種明明在台灣,但是沒有寫 Taiwan 的
– 只有30%的人有工作地點名稱資訊
– 有超過 5000 筆的「來自」地點填 Indramayu,查了一下在印尼,所以外國朋友的帳號也不少
因為這份資料的姓氏和名字是分開的,不用自己寫程式去切姓氏和名字(有一堆名字不是三個字,還有複姓之類的情況),所以可以像傳統媒體一樣,拿名字那一排做菜市場名字分析這種無聊統計
名單內最多台灣人用的臉書名稱,前五名都是英文名字
| Chen |
| Kevin |
| David |
| Eric |
| Lin |
查詢指令參考:SELECT A.* FROM (SELECT [name],count(id) AS count FROM fbleak GROUP BY [name] HAVING count(id)>1300) AS A ORDER BY A.count DESC
英文統統剔除不計,只算中文字的話,前5名是:
| 美鈴 |
| 淑芬 |
| 安 |
| 婷 |
| 家豪 |
查詢指令參考:SELECT A.* FROM (SELECT [name],count(id) AS count FROM fbleak WHERE [name] NOT LIKE N'%[A-Z]%' GROUP BY [name] HAVING count(id)>200) AS A ORDER BY A.count DESC
關於工作地點名稱,隨便抽查幾個,挑一些工作需要長期簽約的應該比較準:
– 6 筆林森北路相關
– 8 筆核研所相關(核二廠包商, 核能研究所, 核研所等等),中研院與工研院總計近60名
– 14 筆中遊(中華民國無業遊民)
– 17 筆「不要問你會怕」
– 23 筆「秘密」
– 近 20 名女性 17 直播主
– 99 筆中油相關
– 100 個「Jesus Follower 耶穌的跟隨者」
– 警察約 169 名(包含警校和警局),消防相關人員 200 多名
– 172 筆社會大學
– 224 筆中華電信
– 400 多筆 7-11 員工(包含7-11便利店, 7-11, 7-Eleven, 7-11某某門市等,排除統一7-ELEVEn獅啦啦隊)
– 3000 多筆國軍相關(國軍online, 陸軍專科學校都算在內)
怎麼查自己有沒有在名單中
想查詢自己有沒有上榜的,找到兩個工具,可以用 emai 或是手機號碼來查:
用 email 查有沒有在臉書外洩名單中
想查詢自己有沒有上榜的,可以上 Have I Been Pwned 或 Firefox Monitor,輸入 email,如果在這份 facebook 外洩名單中,可以看到這樣的訊息
但是剛剛有講,台灣地區的名單裡只有 1.45% 的人有 email,才能從 Have I Been Pwned 或 Firefox Monitor 查到,其他的 98.55% 都是查不到的!
用手機號碼查有沒有在臉書外洩名單中
晚上看到網友分享另一個 檢查 Facebook 帳號資料是否外流 https://leaked.website ,這個是用手機號碼查詢的。
如果在名單上,會顯示「很不幸的告訴您,您的手機號碼及相關個資在這次事件中外洩了。」
可以有更多功能嗎?
上述這些查詢工具只會顯示有或沒有而已,為什麼不能顯示多一點?因為這種設計方式是有保護開發者的理由的,假設今天我也做一個線上查詢工具,例如貼上 FB 個人檔案連結,輸入 Facebook ID 或手機號碼或 email,會非常明確顯示本次外洩資料中有哪些個資,例如會顯示:
– 臉書個人帳號連結
– 姓名,中間打星號
– 手機號碼頭尾一個字,中間打星號
– 工作經歷頭尾一個字,中間打星號
– 現居地區、來自地區:用模糊的表示,例如在台灣、不在台灣、北部、南部、東部
– 感情狀態:有或無,配偶名稱中間打星號
– 依生日換算出星座、論語年齡區間表示法(而立、不惑…)
這樣不是更清楚,就可以看到自己是哪個帳號、哪些資料被外洩、外洩的資料是否正確嗎?
製作上不難(但書:只放台灣的,以免全球的5億筆資料放上去讓系統執行緩慢,不考慮高流量高併發、不考慮系統漏洞導致資料被撈走),但這工具是不能出現在世界上的,原因有三個:
1.使用者信任度問題,聰明的使用者可能會擔心這跟「信用卡號外洩查詢器」的笑話一樣,輸入信用卡資訊然後檢查卡號有沒有外洩?本來沒有外洩,但輸入之後就是真的把信用卡資訊外洩了,或是跟「教召查詢系統」的都市傳說一樣,輸入個資即完成報名,我退伍N年到現在也是不敢去查,那如何讓使用者信任這個「個資外洩查詢器」不會記錄使用者輸入的東西?開放原始碼?找人背書?
2.小工具有機會變成各種邪惡用途,例如:
「輸入朋友手機然後查到他的FB(如果他在外洩名單內的話)」
「輸入別人的 Facebook ID 然後查到他在外洩名單中的手機, email, 生日 」
Facebook ID 是公開的,只要有別人的臉書個人檔案連結就可以查。個人檔案連結哪裡有?去蘋果日報還是其他熱門的 FB 貼文底下看留言,就有一堆了啊。
以前還可以用 id@facebook.com 寄信給別人,後來那個功能也收掉了Facebook shuts down @facebook.com email service,想要用這名單裡的 facebook id 發廣告信?還是別做夢了,發簡訊可能比較實在。
3.有些資料就算中間碼掉,還是可以一眼看出來,這免費的線上工具上的可辨識性資料將會受到台灣地區個人資料保護法的規範,我既不是公務機關,名單上的 73.4 萬名當事人也沒有同意我拿來利用,就算免費線上工具的程式放在國外主機、域名統統都是國外的,但只要有一丁點資訊是國內的(例如放個綠界金流的斗內連結),只要有人提告,還是有機會被台灣的司法機關聯絡到。
個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
不用等有人覺得個資受到侵犯而去提告,違法蒐集處理利用個資是公訴罪!之前有關注一個台灣的相關服務台灣抓漏小天使 Breach.tw,早在幾年前做這種個資外洩查詢器的線上服務,讓使用者查自己的個資有沒有在哪邊外洩,但作者聲稱因持續受到政府與企業單位關切,FB超過半年沒發文,網站也已經打不開了,看來也是涼涼了…
為了避免惹禍上身,想知道自己的個資是否外洩、外洩的個資是否正確精準的人,只能花8歐元去論壇買點數下載名單,然後看自己有沒有在名單裡面吧。
這個情況就是網路時代執法的難度之一,
在國內提供讓人一次查一筆的服務,使用時可能造成個資外洩:犯法!
在國外提供 5 億筆個資名單給人下載:無法可管。
某海外影視平台在台設立公司開發票:犯法!
在海外提供服務,使用者用信用卡付款:無法可管。
發現自己在名單中可以怎麼辦
先上募資平台開案,然後跨海打官司去控告 Facebook……夢話還是留到夢裡說吧。
從 Facebook audience insights 可以看到台灣地區的 FB 用戶約有 1500~2000萬人,外洩名單只佔台灣 FB 總使用人口數的 3.6%~4.8% 左右。人數不是很多,這些資料的用途很多,就算我不是做詐騙的,用膝蓋也想得到,例如說:
– 手機號碼跟 email 可以拿去投廣告,或是發廣告訊息,或是根據地區、已婚未婚、性別做其他的行銷用途分析,或是用手機號碼當主鍵。跟手上的其他資料交叉比對和合併。
– 有些線上服務僅需要生日或是一些簡單個資即可重設密碼,登入之後就能查看個資、消費記錄等等,甚至用這個線上服務再去詐騙其他人,大家都有看過電影出神入化2吧?
– 用現有個資嘗試登入其他網站,例如試試手機號碼當帳號,email @前面的帳號當密碼?或是生日當密碼?
– 整人用途,例如到哪個購物網站的「忘記密碼」功能區,輸入手機號碼或 email,如果沒有特別的防禦機制,使用者就整天收訊息收不完了。
– 各種社交工程詐騙,例如「工作的地點」+「電話號碼/email」就可以有很多玩法,設計一套文案來騙人執行動作,例如發假的請款單或發票騙人打開中毒檔案、用假的通知訊息騙人在釣魚網頁輸入帳密等等,躺著玩坐著玩趴著玩,怎樣都能玩。
但老實講,能換的只有這三個:
電話號碼:辦新的
email:辦新的
Facebook ID:辦一個新的臉書帳號
雖然大家在 FB 上面填的個資不一定正確,姓名、生日、工作地點、性別亂填,感情狀態寫已婚,結果是偶像還是卡通角色結婚?亂填誰也管不著。但如果之前是填真的,所在地區也不可能說換就換,email 和手機號碼要換,也是大工程,而且難保 FB 未來又有其他個資外洩事件,到時候又要再改一次手機和 email 嗎?或是自己哪一天不小心點進去詐騙網頁,輸入自己的 FB 帳密,FB的系統再安全,其實也無濟於事。
更多關於外洩名單的猜想
查過之後發現我的帳號都沒有在名單內,值得慶幸,但不曉得我跟這 73.4 萬人的差別在哪?
台灣區名單總共有 734,807 筆,台灣區名單上有電話號碼的有 734,807 筆,其他國家的也差不多,有電話號碼的才會列在上面,該不會就是因為我沒有在 Facebook 設定手機號碼,所以被駭客從名單中剔除了吧??
理論上駭客手上還有一份更完整的名單,例如可能有 email,但是沒有電話號碼的,或是有其他欄位,但是因為覺得資料不準確所以沒放出來?
另一個疑點是,起初我不確定原PO是怎麼把使用者依國家區分的,因為像地區欄位可以看到很多國外城市名稱,個人檔案進去也完全不像是在本國讀書、工作的人,後來發現應該是用手機號碼來區分,國碼開頭886的就放在台灣這份,那問題就來了,為什麼有一些從頭到腳看起來是外國人的,卻用台灣的手機號碼呢?難道這些帳號是有甚麼特殊用途嗎?
但這只是猜想,沒有人可以證實,這恐怕只有當事人才知道了,今天的X調查就到此…
相關資訊
- A huge database of Facebook users phone numbers found online – TechCrunch 2019年的臉書個資外洩事件
- An Update on Our Plans to Restrict Data Access on Facebook 2018 年的 FB 個資相關 API 的政策變更,臉書老闆被叫去國會拉正之後,持續增加非常多捉弄開發者的安全限制
- 求職網驚傳20萬個資外洩!台灣近年重大個資外洩總整理 | 公視P#新聞實驗室 外洩個資同樣被放在跟本次FB事件的同一個論壇。